2022年12月5日、改正航空法が施行され、いよいよレベル4が解禁された。都市部などの有人地帯上空をドローンが飛び交う社会が現実味を帯びてきたなか、気になるのが「セキュリティ対策」だ。
万が一、ドローンが乗っ取られて有人地帯に墜落すれば、人命に関わる事故が起きかねない。事業者にとっては会社の存続そのものを左右するほど、重大な危機になる可能性もある。
そこで今回は、「セキュリティ面から空の産業革命・移動革命を支えていきたい」というGMOインターネットグループのGMOグローバルサイン坂井氏と、GMOサイバーセキュリティbyイエラエの三村氏に取材した。
GMOグローバルサインは、GMOグループで暗号セキュリティ事業を展開し、SSLサーバー証明書国内シェアナンバー1を誇る。同社は、WebブラウザのみならずIoT機器向けにもSSLサーバー証明書を提供しており、ドローンへの提供も開始したという。
GMOサイバーセキュリティbyイエラエ(以下、GMOイエラエ)は、国内屈指のホワイトハッカー集団。三村氏が所属する高度解析課では、自動運転車両やIoT機器のペネトレーションテストからサイバーセキュリティ対策まで豊富な実績を持つ。まさにドローンにおいても、同様の取り組みを手がけているという。
本稿では、国内ドローンビジネスにおけるセキュリティの現状、セキュリティリスクが高まる具体的な運用シーン、ドローンに対する脅威として考えられる事例、サイバー攻撃する側の心理や、ドローンのセキュリティ対策の具体的な方法などを、幅広く紹介する。
国内ドローンビジネスにおけるセキュリティの現状
2022年6月の「Japan Drone 2022」で、GMOインターネットグループがトップスポンサーとして協賛したことは記憶に新しい。同社出展ブースでは、ドローンに対するサイバー攻撃の実演が行われ、連日多くの来場者が集まっていた。
GMOグローバルサインの坂井氏は、出展当日から半年間を振り返ってこう語る。
坂井氏 :「Japan Drone 2022」に出展したときは、「なんでドローンにセキュリティなの?」という声が非常に多かった。「ドローンのセキュリティはまだ啓発段階だ」とも感じたが、同時に、「やらなきゃいけないのは分かっているのだけど…」というコメントも多く寄せられた。実際、展示会後にお問い合わせもいただいて、既存の機体への侵入テストや、証明書の導入を進めるなど、セキュリティへの意識は高まってきており、ドローン業界が次の段階に差し掛かってきたと実感している。
国内の事例としては、プロドローンが2021年5月、GMOグローバルサインの電子証明書が格納されたセキュリティチップをドローンに搭載し、コントローラー、機体の相互認証と通信の暗号化、またドローンからのデータ送信の秘匿化に関する実証実験を行うと発表したほか、ACSLが同年12月に、「安全安心なドローン基盤技術開発」事業の成果物としてセキュアな小型空撮ドローン「蒼天」の商品化を発表した。蒼天におけるセキュアの定義や対策については、本誌ドローンジャーナルでも詳しく紹介して、多くの読者から反響をいただいた。
しかし、セキュリティは“後回し”になりがち、というのが実情ではないだろうか。坂井氏は、「もちろん、ドローン業界のセキュリティに対する意識は高まっているが、そもそもセキュリティ対策は、よくないことではあるけれど、何かが起こってから気づくことがとても多い領域だ」と指摘する。
ドローンそのもののセキュリティに対する法規制など、強制力や統一規格が存在しないことも一因だろう。GMOグローバルサインは、「空の移動革命に向けた官民協議会」に参画して、制度設計においてセキュリティ技術分野から協力しているというが、現状ではドローンをソリューションの1つとして活用する事業者が、個々の経営判断に基づいてセキュリティ対策を講じていくのが一般的だ。
セキュリティリスクが高まる具体的な運用シーン
では、どのような運用シーンにおいて、セキュリティリスクが高まるのだろうか。GMOイエラエの三村氏を中心にお話を伺った。
まず、話題に挙がったのは、「Japan Drone 2022」でのドローンに対するサイバー攻撃の実演だ。サイバー攻撃とは、サーバーや、パソコン、スマホ、ドローンなどの端末に対して、ネットワークを通じて攻撃を仕掛けて、システムを破壊したり、データを窃取や改ざんしたりすること。実演では、三村氏が飛行中のドローンに対してコマンドを送信するだけで、一瞬にしてドローンが墜落する様子が披露された。
想定シーンは、協調飛行制御して運用している複数のドローンのうち、1台が何らかの形で紛失したり奪われたりして、ハッカーが入手し機体を物理的に解析したというシーン。ハッカーが、他のドローンにも共通する脆弱性を見つけたり、サーバーへの侵入方法を確立したりすれば、遠隔地からネットワークに不正アクセスして、他のドローンに対して非正規のコマンド(実演ではディスアーム指示)を送信し、機体を墜落させたり、ファームウェアを書き換える、などの脅威が生じる。
三村氏は、複数台協調飛行におけるセキュリティについて、このように話した。
三村氏 :「Japan Drone 2022」でさまざまな事業者さんとお話しするなかで見えてきたのだが、ドローン同士のネットワークに外部から侵入されることはない、安全であるという前提で設計されているケースは多いようだ。もし1台壊れて交換するとなると、同じ設定でやっていればすぐにリスクエスできるから、楽ではあるのだが、リスクもあるということはお伝えしたい。
そして、サイバー攻撃を受ける可能性があるシーンは、実演での想定シーン以外にも、多々あるという。まず挙げられるのは、モバイル通信に対応した機体が長距離を目視外飛行するシーンだ。予め設定されたフライトプランに従い自動航行するため、飛行途中にコマンドを送信することはないという前提だが、常時LTE回線につながったままで、飛行中のテレメトリー情報やカメラ映像などを伝送していることが多い。あるいは、モバイル通信を使わない狭いエリアでの運用だとしても、エリア内で構築されたWi-Fiに機体がつながっているというシーンや、スマホがプロポの代わりになるというシーンでも、サイバー攻撃のリスクは否めない。
また、三村氏は「このようなシーンにおいては、サイバー攻撃以外の脅威もあり得る」と指摘した。
三村氏 :攻撃者がドローンを標的にするかどうかは別として、インターネット全体に対して負荷をかけようと攻撃したとき、運悪くドローンに当たってしまうと、飛行には無関係な命令通信が膨大に送られてくる。こういうシーンでは、ドローンのプロセッサーの演算処理速度が落ちてしまい、飛行に不具合が生じるだろう。例えば、フライトプランの指定より1m前方に進んで方右折するなどが繰り返されると、想定とは全く異なる場所へ飛んで行ってしまう。
もちろん、ネットワークから独立した環境下でドローンを飛ばすというシーンでは、妨害電波を送られるという懸念は残るものの、そこまで問題にはならないという。しかし、「その限定的なシーンは、今度どんどん少なくなるだろう」と三村氏は言う。
三村氏 :今後は、何らかの問題が起きたときや、プランへの変更が生じたとき、柔軟にすぐ適応できるような運用が求められてくるだろう。やはり、何らかのネットワークにつながって運用するシーンを想定して、セキュリティ対策を講じておくべきではないだろうか。
